- 1大专计算机考证基础_专科计算机基础考什么
- 2Window11一键安装APK应用详细教程,及错误解决_win11安装apk
- 3脑科学开放日举行,张钹等专家:下一代AI创新要结合脑科学研究_中科院 人工智能
- 4Python存取图片至服务器数据库中_python 网络图片存入数据库
- 5JAVA编写有图形化界面的计算器_java四则运算计算器图形
- 6GNN手绘草图识别新架构:Multi-Graph Transformer 网络
- 7java计数_滑动窗口计数java实现
- 8abtest-显著性差异(significance test)
- 9python画图代码大全简单,python画图代码简单
- 10【GitHub项目推荐--自动生成视频】【转载】_githubtext转视频项目
实用的微信小程序逆向教程!
赞
踩
洞悉安全,风洞网,认准官方网站!
简单复现一下小程序的逆向过程。
首发声明
准备工具
一、pc端复现
- 微信PC版本—>https://pc.weixin.qq.com/
- 小程序解密工具—>https://share.weiyun.com/uMqNGOXv
- nodejs环境—>https://nodejs.org/zh-cn/download/
- 小程序逆向工具—>https://github.com/xuedingmiaojun/wxappUnpacker
二、移动端复现
- 安卓环境(安卓系统手机或安卓模拟器)—>https://www.genymotion.com/download/%5D
- 安卓环境安装微信
- 安卓环境安装RE管理器(授权root)
- 安装nodejs环境
- 小程序逆向工具—>https://github.com/xuedingmiaojun/wxappUnpacker
具体思路
拿到后缀为wxapkg的小程序代码包,通过逆向工具反编译为小程序代码
复现过程
一、pc端逆向复现
1、首先打开PC微信后进入想要逆向的小程序,接着打开此目录Documents\WeChat Files\Applet\小程序id\XX\__APP__.wxapkg,__APP__.wxapkg就是我们要找的加密包
2、代码包解密,PC端小程序的代码包是经过加密的,我们需要对其进行解密之后就可以拿到与移动端一样的代码包了。解压下载好的小程序解密工具,运行UnpackMiniApp.exe选择加密小程序包
然后前往工具所在目录/wxpack 拿到小程序解密后的代码包。
3、反编译小程序,打开下载好的wxappUnpacker逆向工具,打开目录下的README.md按照说明安装依赖,执行cmd输入命令
bingo.bat xxx.wxapkg
- 1
如果提示’xxx’ 内部或外部命令 可以执行命令
chcp 65001
- 1
切换cmd编码为UTF-8后再次尝试 此时反编译代码就在当前目录下以小程序id命名的文件夹。
二、移动端逆向复现
1、找到小程序代码包,启动微信并启动要逆向的小程序,打开RE管理器,前往路径 /data/data/com.tencent.mm/MicroMsg/用户ID/appbrand/pkg/(用户ID为32位字母或数字组成的名称) 此时看到的wxapkg文件就是小程序的代码包,找到你想逆向的包复制出来,可以通常长按发送的方式把文件复制到电脑,也可以通过Genymotion共享文件夹的方式把文件复制到电脑。
2、反编译小程序,和pc端逆向一样的步骤。
小程序反编译代码演示
反编译的代码可以正常运行,但是由于没有小程序的开发权限,所以只能使用自己的小程序id进行代码调试,就像我截图中一样,虽然代码逻辑没问题,但是由于appid不同,在调用微信登录功能时,服务器会返回登录失败等信息。另外由于是反编译,小程序代码中变量等信息都是abcd之类的,读起来还是需要一点耐心。
转载来源
http://dabojava.cn/2021/04/30/unpack/wx-applet/
关注风洞网微信公众号!
加入风洞网的知识星球,星球会不定期分享各种网络安全干货知识!
